首页 >> 网络安全 >>系统安全 >> 等保测评二级三级多久测一次了?
详细内容

等保测评二级三级多久测一次了?

时间:2021-12-03        阅读

网络安全等级保护评估(等保测评)众所周知,三级信息系统每年评估一次,那么二级信息系统多久评估一次呢?

  很多人对这个知识点模糊不清,包括一些现有的评价机构。很多测评机构在和客户沟通的时候会说三级系统一年测评一次,二级系统两年测评一次,所以客户对这个知识点的了解就更少了。其实很多销售都是模糊的。事实上,公安部的二级信息系统并没有明确需要评估等级保护。按照标准,公安部只规定二级信息系统已经运行(运营),二级以上信息系统由市级以上公安机关新建。


具体要求:

  第十四条信息系统建设完成后,运营使用单位或者其主管部门应当选择符合本办法规定要求的评价机构,按照《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级进行等级评价。三级信息系统应至少每年评级一次,四级信息系统应至少每半年评级一次,五级信息系统应根据特殊安全要求进行评级。


  信息系统经营者、用户及其主管部门应当定期对信息系统安全状况、安全防护制度和措施的落实情况进行自查。三级信息系统应至少每年进行一次自查,四级信息系统应至少每半年进行一次自查,五级信息系统应根据特殊安全要求进行自查。


  经评估或自查,信息系统安全状况不符合安全防护等级要求的,运营使用单位应当制定整改方案。

  第十五条已运行(运营)二级以上信息系统的,运营使用单位应当在安全防护等级确定后30日内向所在地市级以上公安机关办理备案手续。

  新建二级以上信息系统应当自投入运行之日起30日内,向所在地市级以上公安机关办理备案手续。

  跨省或全国统一网络运行、由主管部门统一分级的中央直属北京单位信息系统,由主管部门向公安部备案。或者跨省运行、全国统一网络运行的信息系统在各地应用的分系统,应当向设区的市级以上地方公安机关备案。

  三级保证要求每年至少一次等级评定;但二等保险不需要强制评估,需要评估机构定期评估或系统自测。


浅析二级与三级运管家的区别

  1.区别,不同的评分标准

  二类定级标准:信息系统受损,将严重损害公民、法人和其他组织的合法权益,或者社会秩序和公共利益,但不会损害国家安全。三级分级标准:如果信息系统遭到破坏,将对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。


  第二,评价周期不同。

  三级保证要求每年至少一次等级评定;但二等保险不需要强制评估,需要评估机构定期评估或系统自测。


  第三,监管不同。

  类为一般系统,属于制导保护等级;但第三级同等安全是重要的系统/关键信息基础设施,属于监管保护级别,每年强制进行一次同等安全评估。


  第四,保护能力不同

  需要实现的二级安全防护能力:能够保护系统免受国外小型组织和资源量较小的威胁源发起的恶意攻击、一般自然灾害等相应程度的威胁,能够发现重要的安全漏洞和安全事件,并在被攻击破坏后的一段时间内恢复部分功能。


  需要实现三级安全防护能力:在统一的安全策略下,可以保护系统免受来自外部有组织团体、资源丰富的威胁源、严重的自然灾害等相应程度的威胁的恶意攻击,能够发现重要的安全漏洞和安全事件,在系统受到攻击破坏后快速恢复大部分功能。

ots网络logo

OTS网络安全门户主要提供网络信息安全教程、文章、工具,让更多的小伙伴加入我们的社区一起学习。

技术支持: 建站ABC | 管理登录